Forense Computacional - PET

Prévia do material em texto

PET-Computação – Diego Tavares
Forense Computacional
Diego TavaresDiego Tavares
(PET-Computação)
diegot@dsc.ufcg.edu.br
06/11/07 Forense Computacional 2
PET-Computação – Diego Tavares
Introdução
“A Forense Computacional pode ser definida como a 
ciência que estuda a aquisição, preservação, 
recuperação e análise de dados que estão em formato 
eletrônico e armazenados em algum tipo de mídia 
computacional.”
06/11/07 Forense Computacional 3
PET-Computação – Diego Tavares
Introdução
� Ocorrências mais comuns:
� Calúnia, difamação e injúria via e-mail
� Roubo de informações confidenciais
� Remoção de arquivos
� Outros crimes:
� Pedofilia
� Fraudes
� Tráfico de drogas via Internet
06/11/07 Forense Computacional 4
PET-Computação – Diego Tavares
Introdução
� Objetivo da Forense Computacional: aplicar métodos 
científicos e sistemáticos, buscando extrair e analisar tipos 
de dados dos diferentes dispositivos, para que essas 
informações passem a ser caracterizadas como evidências e, 
posteriormente, como provas legais de fato.
� A forense aplicada à tecnologia é muito recente, porém a 
ciência forense como um todo existe há muito tempo.
• No século VII já eram utilizadas impressões digitais para determinar 
as identidades dos devedores. As impressões digitais dos cidadãos 
eram anexadas às contas que ficavam em poder dos credores.
06/11/07 Forense Computacional 5
PET-Computação – Diego Tavares
Introdução
� A forense computacional é empregada:
� para fins legais (ex.: investigar casos de espionagem 
industrial); 
� em ações disciplinares internas (ex.: uso indevido de 
recursos da instituição);
� Para serem consideradas provas válidas, é muito importante 
que o perito realize o processo de investigação de maneira 
cuidadosa e sistemática.
� Preservar a integridade das evidências
� Gerar documentação detalhada
06/11/07 Forense Computacional 6
PET-Computação – Diego Tavares
� Fases de um processo de investigação
Etapas da investigação
06/11/07 Forense Computacional 7
PET-Computação – Diego Tavares
Coleta dos dados
� Possíveis fontes de dados:
� Computadores pessoais;
� Dispositivos de armazenamento em rede;
� CDs, DVDs;
� Máquina fotográfica, relógio com comunicação via USB, etc.
06/11/07 Forense Computacional 8
PET-Computação – Diego Tavares
Coleta dos dados
� Os dados também podem estar armazenados em locais fora dos 
domínios físicos da cena investigada 
� Provedores de Internet
� Servidores FTP (File Transfer Protocol) 
� Servidores corporativos
� Nesses casos, a coleta dos dados somente será possível 
mediante ordem judicial
06/11/07 Forense Computacional 9
PET-Computação – Diego Tavares
Coleta dos dados
� Cópia dos dados: envolve a utilização de ferramentas 
adequadas para a duplicação dos dados
� Garantir e preservar a integridade
� Se não for garantida a integridade, as evidências poderão ser 
invalidadas como provas perante a justiça
� A garantia da integridade das evidências consiste na utilização de 
ferramentas que aplicam algum tipo de algoritmo hash
� Assim como os demais objetos apreendidos na cena do crime, 
os materiais de informática apreendidos deverão ser 
relacionados em um documento (cadeia de custódia)
06/11/07 Forense Computacional 10
PET-Computação – Diego Tavares
06/11/07 Forense Computacional 11
PET-Computação – Diego Tavares
Coleta de dados
� Cópia lógica (Backup): as cópias lógicas gravam o conteúdo 
dos diretórios e os arquivos de um volume lógico. Não 
capturam outros dados:
� arquivos excluídos;
� fragmentos de dados armazenados nos espaços não utilizados, mas 
alocados por arquivos.
� Imagem: imagem do disco ou cópia bit-a-bit inclui os espaços 
livres e os espaços não utilizados:
� mais espaço de armazenamento, consomem muito mais tempo;
� permitem a recuperação de arquivos excluídos e dados não alocados 
pelo sistema de arquivos. Exemplo: setor de 4KB, arquivo com 9KB (3 
setores ocupados)
Parte utilizada pelo arquivo
Parte não utilizada pelo arquivo
06/11/07 Forense Computacional 12
PET-Computação – Diego Tavares
Coleta de dados
� Durante a aquisição dos dados é muito importante manter a 
integridade dos atributos de tempo mtime (modification time), 
atime (access time) e ctime (creation time) – MAC Times.
� Modificação: registro da data e hora em que ocorreu a última alteração 
no arquivo;
� Acesso: registro da data e hora em que ocorreu o último acesso ao 
arquivo;
� Criação: registro da data e hora em que o arquivo foi criado.
06/11/07 Forense Computacional 13
PET-Computação – Diego Tavares
06/11/07 Forense Computacional 14
PET-Computação – Diego Tavares
Exame dos dados
� Finalidade: localizar, filtrar e extrair somente as informações relevantes à
investigação � tarefa trabalhosa!
� Capacidade de armazenamento dos dispositivos atuais
� Quantidade de diferentes formatos de arquivos existentes (imagens, áudio, 
arquivos criptografados e compactados)
� Muitos formatos de arquivos possibilitam o uso de esteganografia para ocultar 
dados, o que exige que o perito esteja atento e apto a identificar e recuperar 
esses dados
� Em meio aos dados recuperados podem estar informações irrelevantes e 
que devem ser filtradas.
� Ex.: o arquivo de log do sistema de um servidor pode conter milhares de 
entradas, sendo que somente algumas delas podem interessar à investigação
06/11/07 Forense Computacional 15
PET-Computação – Diego Tavares
Exame dos dados
� Após a restauração da cópia dos dados, o perito faz uma 
avaliação dos dados encontrados:
� arquivos que haviam sido removidos e foram recuperados;
� arquivos ocultos;
� fragmentos de arquivos encontrados nas áreas não alocadas;
� fragmentos de arquivos encontrados em setores alocados, porém não 
utilizados pelo arquivo.
06/11/07 Forense Computacional 16
PET-Computação – Diego Tavares
Análise das informações
� Após a extração dos dados considerados relevantes, o perito deve 
concentrar suas habilidades e conhecimentos na etapa de análise e 
interpretação das informações.
� Finalidade: identificar pessoas, locais e eventos; determinar como esses 
elementos estão inter-relacionados.
� Normalmente é necessário correlacionar informações de várias fontes de 
dados
� Exemplo de correlação: um indivíduo tenta realizar um acesso não autorizado 
a um determinado servidor
� É possível identificar por meio da análise dos eventos registrados nos 
arquivos de log o endereço IP de onde foi originada a requisição de 
acesso
� Registros gerados por firewalls, sistemas de detecção de intrusão e 
demais mecanismos de proteção
06/11/07 Forense Computacional 17
PET-Computação – Diego Tavares
Resultados
� A interpretação dos resultados obtidos é a etapa conclusiva da 
investigação.
� O perito elabora um laudo pericial que deve ser escrito de 
forma clara e concisa, listando todas as evidências localizadas 
e analisadas.
� O laudo pericial deve apresentar uma conclusão imparcial e 
final a respeito da investigação.
06/11/07 Forense Computacional 18
PET-Computação – Diego Tavares
Resultados
� Para que o laudo pericial torne-se um documento de fácil 
interpretação, é indicado que o mesmo seja organizado em 
seções:
� Finalidade da investigação
� Autor do laudo
� Resumo do incidente
� Relação de evidências analisadas e seus detalhes
� Conclusão
� Anexos
� Glossário (ou rodapés)
06/11/07 Forense Computacional 19
PET-Computação – Diego Tavares
Resultados
� Também devem constar no laudo pericial:
� Metodologia
� Técnicas
� Softwares e equipamentos empregados
� Com um laudo bem escrito torna-se mais fácil a reprodução 
das fases da investigação, caso necessário.
06/11/07 ForenseComputacional 20
PET-Computação – Diego Tavares
Técnicas Forenses
� Boas práticas que antecedem a coleta dos dados:
� Limpar todas as mídias que serão utilizadas ou usar mídias novas a 
cada investigação
� Certificar-se de que todas as ferramentas (softwares) que serão 
utilizadas estão devidamente licenciadas e prontas para utilização
� Verificar se todos os equipamentos e materiais necessários (por 
exemplo, a estação forense, as mídias para coleta dos dados, etc.) estão 
à disposição
� Quando chegar ao local da investigação, o perito deve providenciar 
para que nada seja tocado sem o seu consentimento, com o objetivo de 
proteger e coletar todos os tipos de evidências
� Os investigadores devem filmar ou fotografar o ambiente e registrar 
detalhes sobre os equipamentos como: marca, modelo, números de 
série, componentes internos, periféricos, etc.
� Manter a cadeia de custódia.
06/11/07 Forense Computacional 21
PET-Computação – Diego Tavares
Ferramentas Forenses
� Algumas ferramentas forenses serão mostradas nas etapas:
� Coleta dos dados
� Exame dos dados
� Análise dos dados
06/11/07 Forense Computacional 22
PET-Computação – Diego Tavares
Ferramentas Forenses – Coleta dos dados
� dd (Disk Definition) 
� dcfldd (Department of Defense Computer Forensics Lab Disk Definition): 
versão aprimorada do dd, com mais funcionalidades:
� geração do hash dos dados durante a cópia dos mesmos
� visualização do processo de geração da imagem
� divisão de uma imagem em partes
� Automated Image & Restore (AIR): interface gráfica para os comandos 
dd/dcfldd
� gera e compara automaticamente hashesMD5 ou SHA
� produz um relatório contendo todos os comandos utilizados durante a sua 
execução
� elimina o risco da utilização de parâmetros errados por usuários menos 
capacitados
06/11/07 Forense Computacional 23
PET-Computação – Diego Tavares
06/11/07 Forense Computacional 24
PET-Computação – Diego Tavares
Ferramentas Forenses – Exame dos dados
� Diversas ferramentas já permitem a utilização dos bancos de 
dados citados, por exemplo:
� Autopsy 
� pyFlag
� EnCase:
• Padronização de laudo;
• Recuperação de dados, banco de dados de evidências;
• Análise de hardwares e logs.
06/11/07
PET-Computação – Diego Tavares
Como funciona o EnCase
06/11/07 Forense Computacional 26
PET-Computação – Diego Tavares
Ferramentas Forenses – Análise dos dados
� Utilitários para construção da linha de tempo dos eventos
� Mactime: permite que a partir das informações contidas nos metadados 
dos arquivos e diretórios, uma visão cronológica dos acontecimentos 
seja mostrada
� Muitos arquivos importantes que fazem parte dos sistemas 
operacionais da família Windows não possuem uma clara 
explicação de suas estruturas
� Pasco: analisa os índices dos arquivos do Internet Explorer (index.dat), 
exportando os resultados em um formato de texto padrão, inteligível 
por humanos e que utiliza como delimitador de campos o caractere “|”
� Galleta: analisa os cookies existentes em uma máquina e separa as 
informações úteis em campos para que possam ser manipuladas por 
outros programas
06/11/07 Forense Computacional 27
PET-Computação – Diego Tavares
Considerações Finais
� Forense computacional é um tema bastante atual e que tem 
recebido atenção significativa tanto da comunidade científica 
quanto da indústria.
� Muitas vezes a investigação não pode prosseguir sem a 
verificação de computadores de suspeitos � necessidade de 
pessoal qualificado.
� O surgimento de legislação e padrões a serem aplicados 
(Brasil) referentes à forense computacional tornariam menor a 
chance de laudos serem inutilizados por falta de experiência 
dos peritos.
06/11/07 Forense Computacional 28
PET-Computação – Diego Tavares
Referências Bibliográficas
� Neukamp, Paulo A. Forense Computacional: Fundamentos e 
Desafios Atuais. 11 Junho de 2007. Universidade do Vale do 
Rio dos Sinos (UNISINOS). 06 Nov. 2007. 
� http://www.imasters.com.br/artigo/4175/forense/introducao_a_
computacao_forense/
� http://www.guidancesoftware.com/pt/products/ee_index.asp
06/11/07
PET-Computação – Diego Tavares
Dúvidas?
06/11/07
PET-Computação – Diego Tavares
Obrigado!